荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: chx (GP), 信区: Virus
标 题: [转载] CIH病毒引来杀毒软件“大战”
发信站: BBS 荔园晨风站 (Thu Nov 26 18:46:24 1998), 站内信件
【 以下文字转载自 News 讨论区 】
【 原文由 chx 所发表 】
9月1日,公安部为一个病毒发布了一份通报,要求各地
计算机管理监察处严家防范一种新的病毒。随后中央电视台
在新闻时间播报了这一条消息。转眼间,多家防病毒软件公
司纷纷出手,宣布自己能安全杀除这一病毒。这个病毒就叫:
CIH?
CIH起风波
一时还说不清楚CIH病毒是怎样传入我国的,记者查到的
惟一正式报道是《中国计算机报》9月3日的报道。文章称:
最近,电子艺界(ElectronicArts)在它的站点上公布了它
的游戏软件“飞行指挥员”(WingCommander)的一个续集,供
游戏爱好者免费下载,在这个游戏的一些最初拷贝里染上了
CIH病毒。据了解,国内在4月26日就有人最早受到了CIH病毒
的攻击。
CIH病毒发作时,会改写一些特定品牌主板的BIOS(电脑
上的一块只读存诸器),使其中的数据出错。一般用户的电
脑如果受到了CIH病毒的攻击,就只好到主板生产厂家去,由
厂家用特殊的办法刷新BIOS。而对于那些生产厂家在国内没
有分支机构的主板,就只能报废了。CIH是岂今为止,惟一有
效破坏硬件的病毒,也是有史以来最为恶性的电脑病毒。
CIH与DIR2
如果仅凭CIH的破坏能力,它还不能引起电脑软件业如此
的关注,CIH之所以与一般病毒不同就在于它是一个纯Windo
ws病毒。CIH使用了Win95/98最先进的虚拟设备驱动(VxD)
编程技术,利用了Win95/98可执行文件系统的漏洞(而使用
DOS、Win3.2的用户不会受到这个病毒的攻击)。CIH开创了
病毒技术的新思维,它一出现就突破了所有病毒防火墙的阻
挡,使那些“预防未知病毒”的宣传再次沦为笑谈.
Win95的出现使操作系统具有了极大的复杂性,喜欢编写
病毒软件的人不太了解Windows系统,因而自1995年以来,病
毒技术没有太大的发展,绝大多数病毒只是在以往病毒的基
础上作一些改造。除此之外,网络的风行也使一些病毒编写
者的兴趣有所转移。CIH的出现给所有的人敲响了警钟:CIH
病毒的出现,说明已经有许多人像当年了解DOS系统那样了解
了Windows,他们可以从Windows的底层找到漏洞。用一个不
太确切的词来形容:CIH是继宏病毒之后又一个划时代的作品。
这样的作品并不多,在宏病毒之前,只有一个病毒可以
与之媲美,它就是DIR2。?
DIR2是一场大战的终结者。
1994年前后,瑞星公司推出了防病毒卡。是用防毒卡好,
还是用防毒软件好?是当时人们争论的热点之一。防病毒卡
插在电脑里,由于不可改写,没有病毒感染的危险,但能否
防住未知病毒却没有定论。防病毒卡的生产厂家认为能够找
到病毒的最基本特征,就能够防住所有已知和未知的病毒。
DIR2病毒的出现彻底打破了防病毒卡公司的防线,它不具有
以往人们认定病毒的明显特征,它改写了DOS系统,使自己不
被发现,但它确确实实是一个病毒。
于是,防病毒卡一落千丈,而王江民的KV300系列却脱颖
而出,以其开放性和快速更新成为杀病毒市场上的盟主。
CIH:大洗牌的开始?
KV300一直在升级(差点升到Z++版),也凭此获得了
用户的信任,销售达到20万套左右。但无法改变的现实是,
KV300一直都是一个DOS下的程序。王江民告诉记者,早在7月
份,KV300就将能够安全删除CIH病毒的新版本放到了网上,
用KV300完全可以彻底杀除CIH,但这并不意味着KV300可以稳
坐杀病毒软件的第一把交椅,因为竞争者已经来了。
公安部下属企业中国金辰安全技术公司一直是国内杀病
毒软件市场上的劲旅,其产品KILL也广为人知。8月份,美国
CA公司宣布与金辰公司合资,成立新的冠群金软件开发公司。
CA公司的杀病毒产品的排名一直在世界前五位,而CA本身又
是世界第二大软件公司,仅次于微软。CA的介入使得KILL实
力大增,日前,KILL98认证版获得了国内外大大小小机构的
认证标识多达12个,这使得KILL98的声誉直线上升。KILL成
了KV300有力的挑战者。
然而,KV300也并未沉寂。虽说从KV200升级到KV300后,
王江民的KV系列一直没有质的变化,但据江民公司透露,今
年内他们将同一家世界著名杀毒软件公司合作,双方共同推
出KV300系列的新产品,介时,KV300将变成一个跨平台的网
络杀毒软件,可以同时在Win98/NT和UNIX等系统上全方位防
杀病毒。
CIH病毒预示了Windows杀病毒软件时代的到来。谁能克
敌制胜,谁就能成为时代娇子。
附:CIH怎样破坏BIOS
CIH对BIOS的破坏,也并非想象中的那么可怕。要认请这
点,我们先得简要介绍一下BIOS。
现在我们所使用的PC机基本上使用两种只读存储器存放
BIOS数据,一种是使用传统的ROM或EPROM,另一种就是E2RO
M。厂家事先将BIOS以特殊手段,“烧”入(又称“固化”)
到这些存储器中,然后将它们安装在PC机里。当我们打开计
算机电源时,BIOS中程序和数据首先被执行、加载,使得我
们的系统能够正确识别机器里安装的各种硬件并调用相应的
驱动程序,然后硬盘再开始引导操作系统。
固化在ROM或EPROM的数据,只有施加以特殊的电压或使
用外线才有可能被清除,这就是为什么我们打开有些计算机
机箱时,可能会看到有块芯片上贴着一小块银色或黑色纸块
的原因一防止紫外线清除BIOS数据。要清除存储在这类只读
存储器中的数据,仅靠我们计算系统内部的电压不够的。所
以,仅使用这种只读存储器存储BIOS数据的用户,就没有必
要担心CIH会破坏BIOS。
但最新出产的计算机,特别是Pentium以上计算机基本上
都使用了E2POM存储部分BIOS。E2PROM又名“电可改写只读存
储器”一般情况下这种存储器中的数据并不会被用户轻易改
写,但只要施加以特殊的逻辑和电压,就有可能将E2PROM中
的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻
易实现对E2PROM的改写这正是我们通过软件升级BIOS的原理,
也是CIH破坏BIOS的基本方法。
改写E2PROM的数据是需要一定逻辑条件的,不同的PC机
系统这种条件可能并不相同,所以CIH并不会破坏所有使用E
2PROM存储的BIOS的主扳,前面已经说过,目前报导的只有几
种5V主板,这并不是说这些主扳的质量不好,只不过E2PROM
逻辑正好与CIH吻合,或者CIH的编制者也许就是要有目的要
破坏某些品牌的主扳。
所以,要判断CIH对您的主扳究竟有没有危害,首先应该
判别您的BIOS是仅仅烧在ROM/EPROM之中,还是有部分使用了
E2PROM。如果您的主板BIOS恰好使用了E2PROM而且又是5V板
子,就要特别留心了。
需要注意的是,虽然CIH并不会破坏所有BIOS,但CIH在
“黑色”的26日摧毁硬盘所有数据远比破坏BIOS要严重得多—
—这是每个感染CIH病毒的用户都要重视的。
--
※ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 192.168.0.121]
--
※ 转载:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 192.168.0.121]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店